ハフニウム

ハフニウム 説明

HAFNIUMは、中国に拠点を置き、中国政府の支援を受けていると考えられている新しいハッカーグループにMicrosoftが指定したものです。 HAFNIUMハッカーは、悪意のある操作に高いレベルの習熟度と洗練度を示しています。この脅威アクターの主な目標は、米国内のエンティティからの機密データの漏えいです。対象となる被害者は、複数の業界セクターに分散しており、法律事務所、教育機関、疾病研究者から防衛産業の請負業者やNGO(非政府組織)にまで及びます。 HAFNIUMは中国を拠点としていますが、悪意のある操作の一環として、米国でリースされたVPS(仮想プライベートサーバー)を組み込んでいます。

マイクロソフトのサイバーセキュリティアナリストは、脅威アクターによって実行された最新の攻撃キャンペーンを受けて、調査結果を公開することを決定する前に、すでにかなり長い間HAFNIUMの活動を監視していました。 HAFNIUMは、オンプレミスのExchangeServerソフトウェアに影響を与える4つのゼロデイ脆弱性を悪用しました。発見された脆弱性は、CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、およびCVE-2021-27065として追跡され、Microsoftがこの問題に対処するいくつかの緊急アップデートをリリースするほど、深刻なセキュリティ上の弱点を表しています。

このHAFNIUM操作の攻撃チェーンには3つのステップが含まれます。まず、ハッカーは4つのゼロデイエクスプロイトを介して、または盗まれた資格情報にアクセスすることにより、ターゲットを侵害します。内部に入ると、侵入先のサーバーをリモート制御できるWebシェルを作成します。最後のステップでは、攻撃者は電子メールアカウントにアクセスし、被害者の組織とそのユーザーに関するさまざまな情報を含むExchangeオフラインアドレス帳をダウンロードします。選択されたデータは、.7zや.ZIPなどのアーカイブファイルに収集されてから、盗み出されます。過去のキャンペーンでは、HAFNIUMは、被害者から収集した情報をMEGAなどのサードパーティのデータ共有Webサイトにアップロードすることがよくありました。
Webシェルでは、侵害されたサーバーに追加のマルウェアペイロードを配置することもでき、被害者のシステムへの長期アクセスを保証する可能性があります。

オンプレミスのExchangeServerを使用するお客様は、マイクロソフトがリリースしたセキュリティ更新プログラムをインストールし、多数のIoC(侵入の痕跡)が詳しく説明されている同社のセキュリティブログを確認することを強くお勧めします。

HAFNIUM攻撃に関する情報が公開されたため、他のハッカーグループが同じ4つのゼロデイ脆弱性を自分たちの業務で悪用し始めるのにそれほど時間はかかりませんでした。マイクロソフトは、エクスプロイトが明らかになってからわずか9日で、攻撃者がDearCryと呼ばれるランサムウェアの新種を広め始めたことを検出し、サイバー犯罪者が新たに発見されたセキュリティの弱点を組み込むためにインフラストラクチャを調整する速度がどれほど速くなったかを示しています。